[시스코 보안 아카데미 1기] FHRP (HSRP, VRRP, GLBP), Storm Control

FHRP (First Hop Redundancy Protocol)

• 네트워크의 게이트웨이 고가용성을 제공하기 위한 프로토콜
• 라우터나 스위치 같은 첫 번째 홉 장치가 장애가 발생했을 때, 네트워크 중단을 방지하기 위해 예비 장치로의 자동 전환을 지원

HSRP (Hot Standby Router Protocol)

• HSRP는 Active를 뽑는 프로토콜이 아니고 Standby를 뽑는 프로토콜
• 초기 Priority를 설정하지 않은 상태에서 높은 IP를 가진 라우터가 Active를 가져간다.
• 라우터(게이트웨이)가 3개 이상이면 3번째 라우터는 Listen 상태
• preempt 명령어는 Standby한테 명령어를 주면 나중에 Active 상태를 가져옴(Active는 Standby 상태가 되기 전 까지는 preempt 의미가 없음)
• Priority가 아닌 ip주소로는 preempt로 뺏어올 수 없음
• Group number 는 0 ~ 4095 (여러 라우터가 동일한 가상 IP 주소를 공유할 때, 각 라우터가 어느 그룹에 속하는지를 구분하는 역할)
• HSRP 버전 1은 멀티캐스트 주소 224.0.0.2를 사용, HSRP 버전 2는 224.0.0.102를 사용
• Initial → Listen → Speak → Standby → Active
• EEM 은 Cisco의 Embedded Event Manager(이벤트를 모니터링하고, 특정 조건이 충족되면 자동으로 대응)

  • R1(config)# event manager applet LowerPriority
    R1(config-applet)# event syslog pattern "HSRP-5-STATECHANGE"
    R1(config-applet)# action 1.0 cli command "enable"
    R1(config-applet)# action 2.0 cli command "configure terminal"
    R1(config-applet)# action 3.0 cli command "interface GigabitEthernet0/0"
    R1(config-applet)# action 4.0 cli command "standby 1 priority 90"
    R1(config-applet)# action 5.0 syslog msg "HSRP priority lowered to 90"

• HSRP와 STP를 함께 사용하는 경우, 네트워크의 가용성과 안정성을 극대화할 수 있음. 하지만 두 프로토콜이 잘 연동되지 않으면 트래픽 경로가 비효율적이거나 루프가 발생할 수 있다.
  • HSRP와 STP 연동
    1. 동일한 장치에서 HSRP와 STP 루트 설정: HSRP의 액티브 라우터와 STP의 루트 브리지를 동일한 장치로 설정하는 것이 좋다. 이렇게 하면 트래픽이 불필요하게 여러 홉을 거치지 않고 최적의 경로로 전달될 수 있음
    2. Preempt 설정: HSRP의 프리엠프 기능을 활성화하면, 액티브 라우터가 다시 온라인 상태가 되었을 때 자동으로 주 역할을 다시 맡게 됌. 이때 STP 루트 브리지와 HSRP 액티브 라우터가 동일한 장치인지 확인하는 것이 중요
    3. 부팅 시간 조정: HSRP 프리엠프 딜레이를 설정해서, 라우터가 완전히 부팅되고 네트워크에 연결된 후에 프리엠프가 발생하도록 해야 함. 이렇게 하면 트래픽이 드롭되는 것을 방지할 수 있음

VRRP (Virtual Router Redundancy Protocol)

• HSRP보다 VRRP 를 더 많이 사용
• Preempt 기능이 Default (시스코에서는 끌 수 있게 만듬)

GLBP (Gateway Load Balancing Protocol)

• AVG (Active Virtual gateway)
  • 그룹 내 가장 우선순위가 높은 라우터
  • 그룹 내 모든 라우터에 가상 MAC 주소를 할당
  • ARP 요청에 응답
• AVF (Active Virtual Forwarder)
  • 트래픽을 실제로 전달하는 라우터
  • 여러 개의 AVF 존재 가능
• GLBP가 좋다는 건 사람들이 알지만 STP와 관련한 문제때문에 많이 사용하지 않음.
• GLBP는 track 설정을 할 수 없음

Storm Control

• unicast, multicast, broadcast storms을 제어
• 특정 포트에서 발생하는 과도한 트래픽을 감지하고 이를 제한해 네트워크의 성능 저하나 중단을 방지
• 트래픽 제한: Storm Control은 설정된 임계값을 초과하는 트래픽을 감지하면, 해당 트래픽을 제한하거나 차단. 예를 들어, 브로드캐스트 트래픽이 설정된 임계값을 초과하면, 그 트래픽을 줄이거나 차단할 수 있음
• 유연한 설정: 트래픽 제한은 패킷 수(packets per second, pps)나 대역폭의 백분율(percentage of bandwidth)로 설정할 수 있음. 이를 통해 네트워크 환경에 맞게 유연하게 조정할 수 있음
• 액션 설정: 트래픽이 임계값을 초과했을 때 취할 액션을 설정할 수 있음. 예를 들어, 포트를 셧다운하거나, SNMP 트랩을 통해 관리자에게 알림을 보낼 수 있음

Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# storm-control broadcast level 10.00
Switch(config-if)# storm-control multicast level 20.00
Switch(config-if)# storm-control unicast level 30.00
Switch(config-if)# storm-control action shutdown

VLAN Trunks

• Router ACL → RACL
• Port ACL → PACL
• VLAN ACL → VACL

About Configuration

• Telnet같이 원격접속을 할 때 Banner를 작성해야함. Banner가 작성안되있을 경우 무슨 일을 해도 법적 책임을 물을 수 없음.